Alerts - List By Resource Group

Ссылка

Служба:: Defender for Cloud

Версия API:: 2022-01-01

Список всех оповещений, связанных с группой ресурсов

GET https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.Security/alerts?api-version=2022-01-01

Параметры URI

Имя В Обязательно Тип Описание

Имя	В	Обязательно	Тип	Описание
resourceGroupName	path	True	string	Имя группы ресурсов в подписке пользователя. Имя не учитывает регистр. Шаблон регулярного выражения: `^[-\w\._\(\)]+$`
subscriptionId	path	True	string	Идентификатор подписки Azure Шаблон регулярного выражения: `^[0-9A-Fa-f]{8}-([0-9A-Fa-f]{4}-){3}[0-9A-Fa-f]{12}$`
api-version	query	True	string	Версия API для операции

resourceGroupName

path

True

string

Имя группы ресурсов в подписке пользователя. Имя не учитывает регистр.

Шаблон регулярного выражения: ^[-\w\._]+$

subscriptionId

path

True

string

Идентификатор подписки Azure

Шаблон регулярного выражения: ^[0-9A-Fa-f]{8}-([0-9A-Fa-f]{4}-){3}[0-9A-Fa-f]{12}$

api-version

query

True

string

Версия API для операции

Ответы

Имя	Тип	Описание
200 OK	AlertList	ХОРОШО
Other Status Codes	CloudError	Ответ на ошибку, описывающий причину сбоя операции.

Безопасность

azure_auth

Поток OAuth2 Azure Active Directory

Тип: oauth2
Flow: implicit
URL-адрес авторизации: https://login.microsoftonline.com/common/oauth2/authorize

Области

Имя	Описание
user_impersonation	олицетворения учетной записи пользователя

Примеры

Get security alerts on a resource group

Образец запроса

GET https://management.azure.com/subscriptions/20ff7fc3-e762-44dd-bd96-b71116dcdc23/resourceGroups/myRg1/providers/Microsoft.Security/alerts?api-version=2022-01-01


/**
 * Samples for Alerts ListByResourceGroup.
 */
public final class Main {
    /*
     * x-ms-original-file: specification/security/resource-manager/Microsoft.Security/stable/2022-01-01/examples/Alerts/
     * GetAlertsResourceGroup_example.json
     */
    /**
     * Sample code: Get security alerts on a resource group.
     * 
     * @param manager Entry point to SecurityManager.
     */
    public static void getSecurityAlertsOnAResourceGroup(com.azure.resourcemanager.security.SecurityManager manager) {
        manager.alerts().listByResourceGroup("myRg1", com.azure.core.util.Context.NONE);
    }
}

To use the Azure SDK library in your project, see this documentation. To provide feedback on this code sample, open a GitHub issue

package armsecurity_test

import (
	"context"
	"log"

	"github.com/Azure/azure-sdk-for-go/sdk/azidentity"
	"github.com/Azure/azure-sdk-for-go/sdk/resourcemanager/security/armsecurity"
)

// Generated from example definition: https://github.com/Azure/azure-rest-api-specs/blob/9ac34f238dd6b9071f486b57e9f9f1a0c43ec6f6/specification/security/resource-manager/Microsoft.Security/stable/2022-01-01/examples/Alerts/GetAlertsResourceGroup_example.json
func ExampleAlertsClient_NewListByResourceGroupPager() {
	cred, err := azidentity.NewDefaultAzureCredential(nil)
	if err != nil {
		log.Fatalf("failed to obtain a credential: %v", err)
	}
	ctx := context.Background()
	clientFactory, err := armsecurity.NewClientFactory("<subscription-id>", cred, nil)
	if err != nil {
		log.Fatalf("failed to create client: %v", err)
	}
	pager := clientFactory.NewAlertsClient().NewListByResourceGroupPager("myRg1", nil)
	for pager.More() {
		page, err := pager.NextPage(ctx)
		if err != nil {
			log.Fatalf("failed to advance page: %v", err)
		}
		for _, v := range page.Value {
			// You could use page here. We use blank identifier for just demo purposes.
			_ = v
		}
		// If the HTTP response code is 200 as defined in example definition, your page structure would look as follows. Please pay attention that all the values in the output are fake values for just demo purposes.
		// page.AlertList = armsecurity.AlertList{
		// 	Value: []*armsecurity.Alert{
		// 		{
		// 			Name: to.Ptr("2518298467986649999_4d25bfef-2d77-4a08-adc0-3e35715cc92a"),
		// 			Type: to.Ptr("Microsoft.Security/Locations/alerts"),
		// 			ID: to.Ptr("/subscriptions/20ff7fc3-e762-44dd-bd96-b71116dcdc23/resourceGroups/myRg1/providers/Microsoft.Security/locations/westeurope/alerts/2518770965529163669_F144EE95-A3E5-42DA-A279-967D115809AA"),
		// 			Properties: &armsecurity.AlertProperties{
		// 				Description: to.Ptr("This is a test alert generated by Azure Security Center. No further action is needed."),
		// 				AlertDisplayName: to.Ptr("Azure Security Center test alert (not a threat)"),
		// 				AlertType: to.Ptr("VM_EICAR"),
		// 				AlertURI: to.Ptr("https://portal.azure.com/#blade/Microsoft_Azure_Security/AlertBlade/alertId/2518298467986649999_4d25bfef-2d77-4a08-adc0-3e35715cc92a/subscriptionId/20ff7fc3-e762-44dd-bd96-b71116dcdc23/resourceGroup/myRg1/referencedFrom/alertDeepLink/location/westeurope"),
		// 				CompromisedEntity: to.Ptr("vm1"),
		// 				CorrelationKey: to.Ptr("kso0LFWxzCll5tqrk5hmrBJ+MY1BX806W6q6+0s9Lk="),
		// 				EndTimeUTC: to.Ptr(func() time.Time { t, _ := time.Parse(time.RFC3339Nano, "2020-02-22T00:00:00.000Z"); return t}()),
		// 				Entities: []*armsecurity.AlertEntity{
		// 					{
		// 						AdditionalProperties: map[string]any{
		// 							"address": "192.0.2.1",
		// 							"location": map[string]any{
		// 								"asn": float64(6584),
		// 								"city": "sonning",
		// 								"countryCode": "gb",
		// 								"latitude": float64(51.468),
		// 								"longitude": float64(-0.909),
		// 								"state": "wokingham",
		// 							},
		// 						},
		// 						Type: to.Ptr("ip"),
		// 				}},
		// 				ExtendedLinks: []map[string]*string{
		// 					map[string]*string{
		// 						"Category": to.Ptr("threat_reports"),
		// 						"Href": to.Ptr("https://contoso.com/reports/DisplayReport"),
		// 						"Label": to.Ptr("Report: RDP Brute Forcing"),
		// 						"Type": to.Ptr("webLink"),
		// 				}},
		// 				ExtendedProperties: map[string]*string{
		// 					"Property1": to.Ptr("Property1 information"),
		// 				},
		// 				Intent: to.Ptr(armsecurity.IntentExecution),
		// 				IsIncident: to.Ptr(true),
		// 				ProcessingEndTimeUTC: to.Ptr(func() time.Time { t, _ := time.Parse(time.RFC3339Nano, "2020-02-23T13:47:58.920Z"); return t}()),
		// 				ProductComponentName: to.Ptr("testName"),
		// 				ProductName: to.Ptr("Azure Security Center"),
		// 				RemediationSteps: []*string{
		// 					to.Ptr("No further action is needed.")},
		// 					ResourceIdentifiers: []armsecurity.ResourceIdentifierClassification{
		// 						&armsecurity.AzureResourceIdentifier{
		// 							Type: to.Ptr(armsecurity.ResourceIdentifierTypeAzureResource),
		// 							AzureResourceID: to.Ptr("/subscriptions/20ff7fc3-e762-44dd-bd96-b71116dcdc23/resourceGroups/myRg1/providers/Microsoft.Compute/virtualMachines/vm1"),
		// 						},
		// 						&armsecurity.LogAnalyticsIdentifier{
		// 							Type: to.Ptr(armsecurity.ResourceIdentifierTypeLogAnalytics),
		// 							AgentID: to.Ptr("75724a01-f021-4aa8-9ec2-329792373e6e"),
		// 							WorkspaceID: to.Ptr("f419f624-acad-4d89-b86d-f62fa387f019"),
		// 							WorkspaceResourceGroup: to.Ptr("myRg1"),
		// 							WorkspaceSubscriptionID: to.Ptr("20ff7fc3-e762-44dd-bd96-b71116dcdc23"),
		// 					}},
		// 					Severity: to.Ptr(armsecurity.AlertSeverityHigh),
		// 					StartTimeUTC: to.Ptr(func() time.Time { t, _ := time.Parse(time.RFC3339Nano, "2020-02-22T00:00:00.000Z"); return t}()),
		// 					Status: to.Ptr(armsecurity.AlertStatusActive),
		// 					SubTechniques: []*string{
		// 						to.Ptr("T1059.001"),
		// 						to.Ptr("T1059.006"),
		// 						to.Ptr("T1053.002")},
		// 						SupportingEvidence: &armsecurity.AlertPropertiesSupportingEvidence{
		// 							AdditionalProperties: map[string]any{
		// 								"supportingEvidenceList": []any{
		// 									map[string]any{
		// 										"type": "nestedList",
		// 										"evidenceElements":[]any{
		// 											map[string]any{
		// 												"type": "evidenceElement",
		// 												"innerElements": nil,
		// 												"text":map[string]any{
		// 													"arguments":map[string]any{
		// 														"domainName":map[string]any{
		// 															"type": "string",
		// 															"value": "domainName",
		// 														},
		// 														"sensitiveEnumerationTypes":map[string]any{
		// 															"type": "string[]",
		// 															"value":[]any{
		// 																"UseDesKey",
		// 															},
		// 														},
		// 													},
		// 													"fallback": "Actor enumerated UseDesKey on domain1.test.local",
		// 													"localizationKey": "AATP_ALERTS_LDAP_SENSITIVE_ATTRIBUTE_RECONNAISSANCE_SECURITY_ALERT_EVIDENCE_ENUMERATION_DETAIL_A7C00BD7",
		// 												},
		// 											},
		// 										},
		// 									},
		// 									map[string]any{
		// 										"type": "tabularEvidences",
		// 										"columns":[]any{
		// 											"Date",
		// 											"Activity",
		// 											"User",
		// 											"TestedText",
		// 											"TestedValue",
		// 										},
		// 										"rows":[]any{
		// 											[]any{
		// 												"2022-01-17T07:03:52.034Z",
		// 												"Log on",
		// 												"testUser",
		// 												"false",
		// 												false,
		// 											},
		// 											[]any{
		// 												"2022-01-17T07:03:52.034Z",
		// 												"Log on",
		// 												"testUser2",
		// 												"false",
		// 												false,
		// 											},
		// 											[]any{
		// 												"2022-01-17T07:03:52.034Z",
		// 												"Log on",
		// 												"testUser3",
		// 												"true",
		// 												true,
		// 											},
		// 										},
		// 										"title": "Investigate activity test",
		// 									},
		// 								},
		// 							},
		// 							Type: to.Ptr("supportingEvidenceList"),
		// 						},
		// 						SystemAlertID: to.Ptr("2518298467986649999_4d25bfef-2d77-4a08-adc0-3e35715cc92a"),
		// 						Techniques: []*string{
		// 							to.Ptr("T1059"),
		// 							to.Ptr("T1053"),
		// 							to.Ptr("T1072")},
		// 							TimeGeneratedUTC: to.Ptr(func() time.Time { t, _ := time.Parse(time.RFC3339Nano, "2020-02-23T13:47:58.000Z"); return t}()),
		// 							VendorName: to.Ptr("Microsoft"),
		// 							Version: to.Ptr("2022-01-01"),
		// 						},
		// 				}},
		// 			}
	}
}

To use the Azure SDK library in your project, see this documentation. To provide feedback on this code sample, open a GitHub issue

const { SecurityCenter } = require("@azure/arm-security");
const { DefaultAzureCredential } = require("@azure/identity");

/**
 * This sample demonstrates how to List all the alerts that are associated with the resource group
 *
 * @summary List all the alerts that are associated with the resource group
 * x-ms-original-file: specification/security/resource-manager/Microsoft.Security/stable/2022-01-01/examples/Alerts/GetAlertsResourceGroup_example.json
 */
async function getSecurityAlertsOnAResourceGroup() {
  const subscriptionId =
    process.env["SECURITY_SUBSCRIPTION_ID"] || "20ff7fc3-e762-44dd-bd96-b71116dcdc23";
  const resourceGroupName = process.env["SECURITY_RESOURCE_GROUP"] || "myRg1";
  const credential = new DefaultAzureCredential();
  const client = new SecurityCenter(credential, subscriptionId);
  const resArray = new Array();
  for await (let item of client.alerts.listByResourceGroup(resourceGroupName)) {
    resArray.push(item);
  }
  console.log(resArray);
}

To use the Azure SDK library in your project, see this documentation. To provide feedback on this code sample, open a GitHub issue

using System;
using System.Threading.Tasks;
using Azure.Core;
using Azure.Identity;
using Azure.ResourceManager;
using Azure.ResourceManager.Resources;
using Azure.ResourceManager.SecurityCenter;
using Azure.ResourceManager.SecurityCenter.Models;

// Generated from example definition: specification/security/resource-manager/Microsoft.Security/stable/2022-01-01/examples/Alerts/GetAlertsResourceGroup_example.json
// this example is just showing the usage of "Alerts_ListByResourceGroup" operation, for the dependent resources, they will have to be created separately.

// get your azure access token, for more details of how Azure SDK get your access token, please refer to https://learn.microsoft.com/en-us/dotnet/azure/sdk/authentication?tabs=command-line
TokenCredential cred = new DefaultAzureCredential();
// authenticate your client
ArmClient client = new ArmClient(cred);

// this example assumes you already have this ResourceGroupResource created on azure
// for more information of creating ResourceGroupResource, please refer to the document of ResourceGroupResource
string subscriptionId = "20ff7fc3-e762-44dd-bd96-b71116dcdc23";
string resourceGroupName = "myRg1";
ResourceIdentifier resourceGroupResourceId = ResourceGroupResource.CreateResourceIdentifier(subscriptionId, resourceGroupName);
ResourceGroupResource resourceGroupResource = client.GetResourceGroupResource(resourceGroupResourceId);

// invoke the operation and iterate over the result
await foreach (SecurityAlertData item in resourceGroupResource.GetAlertsByResourceGroupAsync())
{
    // for demo we just print out the id
    Console.WriteLine($"Succeeded on id: {item.Id}");
}

Console.WriteLine($"Succeeded");

To use the Azure SDK library in your project, see this documentation. To provide feedback on this code sample, open a GitHub issue

Пример ответа

Код состояния:: 200

{
  "value": [
    {
      "id": "/subscriptions/20ff7fc3-e762-44dd-bd96-b71116dcdc23/resourceGroups/myRg1/providers/Microsoft.Security/locations/westeurope/alerts/2518770965529163669_F144EE95-A3E5-42DA-A279-967D115809AA",
      "name": "2518298467986649999_4d25bfef-2d77-4a08-adc0-3e35715cc92a",
      "type": "Microsoft.Security/Locations/alerts",
      "properties": {
        "version": "2022-01-01",
        "alertType": "VM_EICAR",
        "systemAlertId": "2518298467986649999_4d25bfef-2d77-4a08-adc0-3e35715cc92a",
        "productComponentName": "testName",
        "alertDisplayName": "Azure Security Center test alert (not a threat)",
        "description": "This is a test alert generated by Azure Security Center. No further action is needed.",
        "severity": "High",
        "intent": "Execution",
        "startTimeUtc": "2020-02-22T00:00:00.0000000Z",
        "endTimeUtc": "2020-02-22T00:00:00.0000000Z",
        "resourceIdentifiers": [
          {
            "azureResourceId": "/subscriptions/20ff7fc3-e762-44dd-bd96-b71116dcdc23/resourceGroups/myRg1/providers/Microsoft.Compute/virtualMachines/vm1",
            "type": "AzureResource"
          },
          {
            "workspaceId": "f419f624-acad-4d89-b86d-f62fa387f019",
            "workspaceSubscriptionId": "20ff7fc3-e762-44dd-bd96-b71116dcdc23",
            "workspaceResourceGroup": "myRg1",
            "agentId": "75724a01-f021-4aa8-9ec2-329792373e6e",
            "type": "LogAnalytics"
          }
        ],
        "remediationSteps": [
          "No further action is needed."
        ],
        "vendorName": "Microsoft",
        "status": "Active",
        "extendedLinks": [
          {
            "Category": "threat_reports",
            "Label": "Report: RDP Brute Forcing",
            "Href": "https://contoso.com/reports/DisplayReport",
            "Type": "webLink"
          }
        ],
        "alertUri": "https://portal.azure.com/#blade/Microsoft_Azure_Security/AlertBlade/alertId/2518298467986649999_4d25bfef-2d77-4a08-adc0-3e35715cc92a/subscriptionId/20ff7fc3-e762-44dd-bd96-b71116dcdc23/resourceGroup/myRg1/referencedFrom/alertDeepLink/location/westeurope",
        "timeGeneratedUtc": "2020-02-23T13:47:58.0000000Z",
        "productName": "Azure Security Center",
        "processingEndTimeUtc": "2020-02-23T13:47:58.9205584Z",
        "entities": [
          {
            "address": "192.0.2.1",
            "location": {
              "countryCode": "gb",
              "state": "wokingham",
              "city": "sonning",
              "longitude": -0.909,
              "latitude": 51.468,
              "asn": 6584
            },
            "type": "ip"
          }
        ],
        "isIncident": true,
        "correlationKey": "kso0LFWxzCll5tqrk5hmrBJ+MY1BX806W6q6+0s9Lk=",
        "extendedProperties": {
          "Property1": "Property1 information"
        },
        "compromisedEntity": "vm1",
        "techniques": [
          "T1059",
          "T1053",
          "T1072"
        ],
        "subTechniques": [
          "T1059.001",
          "T1059.006",
          "T1053.002"
        ],
        "supportingEvidence": {
          "supportingEvidenceList": [
            {
              "evidenceElements": [
                {
                  "text": {
                    "arguments": {
                      "sensitiveEnumerationTypes": {
                        "type": "string[]",
                        "value": [
                          "UseDesKey"
                        ]
                      },
                      "domainName": {
                        "type": "string",
                        "value": "domainName"
                      }
                    },
                    "localizationKey": "AATP_ALERTS_LDAP_SENSITIVE_ATTRIBUTE_RECONNAISSANCE_SECURITY_ALERT_EVIDENCE_ENUMERATION_DETAIL_A7C00BD7",
                    "fallback": "Actor enumerated UseDesKey on domain1.test.local"
                  },
                  "type": "evidenceElement",
                  "innerElements": null
                }
              ],
              "type": "nestedList"
            },
            {
              "type": "tabularEvidences",
              "title": "Investigate activity test",
              "columns": [
                "Date",
                "Activity",
                "User",
                "TestedText",
                "TestedValue"
              ],
              "rows": [
                [
                  "2022-01-17T07:03:52.034Z",
                  "Log on",
                  "testUser",
                  "false",
                  false
                ],
                [
                  "2022-01-17T07:03:52.034Z",
                  "Log on",
                  "testUser2",
                  "false",
                  false
                ],
                [
                  "2022-01-17T07:03:52.034Z",
                  "Log on",
                  "testUser3",
                  "true",
                  true
                ]
              ]
            }
          ],
          "type": "supportingEvidenceList"
        }
      }
    }
  ]
}

Определения

Имя	Описание
Alert	Оповещение системы безопасности
AlertEntity	Изменение набора свойств в зависимости от типа сущности.
AlertList	Список оповещений системы безопасности
alertSeverity	Уровень риска обнаруженной угрозы. Дополнительные сведения: https://docs.microsoft.com/en-us/azure/security-center/security-center-alerts-overview#how-are-alerts-classified.
alertStatus	Состояние жизненного цикла оповещения.
AzureResourceIdentifier	Идентификатор ресурса Azure.
CloudError	Распространенный ответ об ошибке для всех API Azure Resource Manager для возврата сведений об ошибке для неудачных операций. (Это также следует формату ответа об ошибках OData.).
CloudErrorBody	Сведения об ошибке.
ErrorAdditionalInfo	Дополнительные сведения об ошибке управления ресурсами.
intent	Цепочка убийств, связанная с намерением в связи с оповещением. Список поддерживаемых значений и объяснения поддерживаемых намерений цепочки убийств Центра безопасности Azure.
LogAnalyticsIdentifier	Представляет идентификатор области рабочей области Log Analytics.
SupportingEvidence	Изменение набора свойств в зависимости от типа поддержкиEvidence.

Alert

Оповещение системы безопасности

Имя	Тип	Описание
id	string	Идентификатор ресурса
name	string	Имя ресурса
properties.alertDisplayName	string	Отображаемое имя оповещения.
properties.alertType	string	Уникальный идентификатор логики обнаружения (все экземпляры оповещений из одной логики обнаружения будут иметь один и тот же тип оповещения).
properties.alertUri	string	Прямая ссылка на страницу генерации оповещений на портале Azure.
properties.compromisedEntity	string	Отображаемое имя ресурса, наиболее связанного с этим оповещением.
properties.correlationKey	string	Ключ для основных связанных оповещений. Оповещения с тем же ключом корреляции, которые считаются связанными.
properties.description	string	Описание обнаруженного подозрительного действия.
properties.endTimeUtc	string	Время в формате UTC последнего события или действия, включенного в оповещение в ISO8601 формате.
properties.entities	AlertEntity[]	Список сущностей, связанных с оповещением.
properties.extendedLinks	object[]	Ссылки, связанные с оповещением
properties.extendedProperties	object	Настраиваемые свойства для оповещения.
properties.intent	intent	Цепочка убийств, связанная с намерением в связи с оповещением. Список поддерживаемых значений и объяснения поддерживаемых намерений цепочки убийств Центра безопасности Azure.
properties.isIncident	boolean	Это поле определяет, является ли оповещение инцидентом (составной группировкой нескольких оповещений) или одним оповещением.
properties.processingEndTimeUtc	string	Время окончания обработки в формате UTC оповещения в ISO8601 формате.
properties.productComponentName	string	Имя ценовой категории Центра безопасности Azure, которая использует это оповещение. Дополнительные сведения: https://docs.microsoft.com/en-us/azure/security-center/security-center-pricing
properties.productName	string	Имя продукта, публикующего это оповещение (Microsoft Sentinel, Microsoft Defender для удостоверений, Microsoft Defender для конечной точки, Microsoft Defender для Office, Microsoft Defender для облачных приложений и т. д.).
properties.remediationSteps	string[]	Элементы действий вручную, чтобы устранить оповещение.
properties.resourceIdentifiers	ResourceIdentifier[]: AzureResourceIdentifier[] LogAnalyticsIdentifier[]	Идентификаторы ресурсов, которые можно использовать для направления оповещения в нужную группу воздействия продукта (клиент, рабочая область, подписка и т. д.). На оповещение может быть несколько идентификаторов разных типов.
properties.severity	alertSeverity	Уровень риска обнаруженной угрозы. Дополнительные сведения: https://docs.microsoft.com/en-us/azure/security-center/security-center-alerts-overview#how-are-alerts-classified.
properties.startTimeUtc	string	Время в формате UTC первого события или действия, включенного в оповещение в ISO8601 формате.
properties.status	alertStatus	Состояние жизненного цикла оповещения.
properties.subTechniques	string[]	Убить связанные с ней вложенные методы, связанные с оповещением.
properties.supportingEvidence	SupportingEvidence	Изменение набора свойств в зависимости от типа поддержкиEvidence.
properties.systemAlertId	string	Уникальный идентификатор оповещения.
properties.techniques	string[]	методы, связанные с цепочкой убийств за оповещением.
properties.timeGeneratedUtc	string	Время создания оповещения в формате UTC в формате ISO8601.
properties.vendorName	string	Имя поставщика, который вызывает оповещение.
properties.version	string	Версия схемы.
type	string	Тип ресурса

AlertEntity

Изменение набора свойств в зависимости от типа сущности.

Имя	Тип	Описание
type	string	Тип сущности

AlertList

Список оповещений системы безопасности

Имя	Тип	Описание
nextLink	string	URI для получения следующей страницы.
value	Alert[]	описывает свойства оповещений системы безопасности.

alertSeverity

Уровень риска обнаруженной угрозы. Дополнительные сведения: https://docs.microsoft.com/en-us/azure/security-center/security-center-alerts-overview#how-are-alerts-classified.

Имя	Тип	Описание
High	string	Высокий
Informational	string	Информационный
Low	string	Низкий
Medium	string	Терпимая

alertStatus

Состояние жизненного цикла оповещения.

Имя	Тип	Описание
Active	string	Оповещение, которое не указывает значение, назначается состояние "Активный"
Dismissed	string	Оповещение отклонено как ложное срабатывание
InProgress	string	Оповещение, которое находится в состоянии обработки
Resolved	string	Оповещение закрыто после обработки

AzureResourceIdentifier

Идентификатор ресурса Azure.

Имя	Тип	Описание
azureResourceId	string	Идентификатор ресурса ARM для оповещенного облачного ресурса
type	string: AzureResource	Для каждого оповещения может быть несколько идентификаторов разных типов, в этом поле указывается тип идентификатора.

CloudError

Распространенный ответ об ошибке для всех API Azure Resource Manager для возврата сведений об ошибке для неудачных операций. (Это также следует формату ответа об ошибках OData.).

Имя	Тип	Описание
error.additionalInfo	ErrorAdditionalInfo[]	Дополнительные сведения об ошибке.
error.code	string	Код ошибки.
error.details	CloudErrorBody[]	Сведения об ошибке.
error.message	string	Сообщение об ошибке.
error.target	string	Целевой объект ошибки.

CloudErrorBody

Сведения об ошибке.

Имя	Тип	Описание
additionalInfo	ErrorAdditionalInfo[]	Дополнительные сведения об ошибке.
code	string	Код ошибки.
details	CloudErrorBody[]	Сведения об ошибке.
message	string	Сообщение об ошибке.
target	string	Целевой объект ошибки.

ErrorAdditionalInfo

Дополнительные сведения об ошибке управления ресурсами.

Имя	Тип	Описание
info	object	Дополнительные сведения.
type	string	Дополнительный тип сведений.

intent

Цепочка убийств, связанная с намерением в связи с оповещением. Список поддерживаемых значений и объяснения поддерживаемых намерений цепочки убийств Центра безопасности Azure.

Имя	Тип	Описание
Collection	string	Коллекция состоит из методов, используемых для идентификации и сбора данных, таких как конфиденциальные файлы, из целевой сети до кражи.
CommandAndControl	string	Тактика управления и команды представляет, как злоумышленники взаимодействуют с системами под их контролем в целевой сети.
CredentialAccess	string	Доступ к учетным данным представляет методы, которые приводят к доступу к системе, домену или учетным данным службы, используемым в корпоративной среде.
DefenseEvasion	string	Оборона неуваждения состоит из методов, которые злоумышленник может использовать для уклонения от обнаружения или предотвращения других оборон.
Discovery	string	Обнаружение состоит из методов, позволяющих злоумышленнику получить знания о системе и внутренней сети.
Execution	string	Тактика выполнения представляет методы, которые приводят к выполнению управляемого злоумышленником кода на локальной или удаленной системе.
Exfiltration	string	Эксфильтрация относится к методам и атрибутам, которые приводят к удалению файлов и сведений злоумышленника из целевой сети.
Exploitation	string	Эксплуатация — это этап, в котором злоумышленник управляет получением колонтитула на атакуемый ресурс. Этот этап относится к вычислительным узлам и ресурсам, таким как учетные записи пользователей, сертификаты и т. д.
Impact	string	События влияния в основном пытаются напрямую уменьшить доступность или целостность системы, службы или сети; включая манипуляции с данными, чтобы повлиять на бизнес-процесс или рабочий процесс.
InitialAccess	string	InitialAccess — это этап, в котором злоумышленник управляет получением колонтитула на атакуемый ресурс.
LateralMovement	string	Боковое движение состоит из методов, позволяющих злоумышленнику получать доступ к удаленным системам в сети и управлять ими, но не обязательно включать выполнение средств на удаленных системах.
Persistence	string	Сохраняемость — это любое изменение доступа, действия или конфигурации в системе, которая предоставляет субъекту угроз постоянное присутствие в этой системе.
PreAttack	string	PreAttack может быть либо попыткой доступа к определенному ресурсу независимо от злонамеренного намерения, либо неудачной попытки получить доступ к целевой системе для сбора информации до эксплуатации. Этот шаг обычно обнаруживается как попытка, исходящая извне сети, чтобы проверить целевую систему и найти способ. Дополнительные сведения о стадии preAttack можно прочитать в MITRE Pre-Att&матрицы ck.
PrivilegeEscalation	string	Эскалация привилегий — это результат действий, позволяющих злоумышленнику получить более высокий уровень разрешений в системе или сети.
Probing	string	Проверка может быть либо попыткой доступа к определенному ресурсу независимо от злонамеренного намерения, либо неудачной попытки получить доступ к целевой системе для сбора информации до эксплуатации.
Unknown	string	Неизвестный

LogAnalyticsIdentifier

Представляет идентификатор области рабочей области Log Analytics.

Имя	Тип	Описание
agentId	string	(необязательно) Идентификатор агента LogAnalytics, сообщающий о событии, на основе этого оповещения.
type	string: LogAnalytics	Для каждого оповещения может быть несколько идентификаторов разных типов, в этом поле указывается тип идентификатора.
workspaceId	string	Идентификатор рабочей области LogAnalytics, в которой хранится это оповещение.
workspaceResourceGroup	string	Группа ресурсов Azure для рабочей области LogAnalytics, в котором хранится это оповещение
workspaceSubscriptionId	string	Идентификатор подписки Azure для рабочей области LogAnalytics, в котором хранится это оповещение.

SupportingEvidence

Изменение набора свойств в зависимости от типа поддержкиEvidence.

Имя	Тип	Описание
type	string	Тип поддержкиEvidence

Поделиться через

Alerts - List By Resource Group

Параметры URI

Ответы

Безопасность

azure_auth

Области

Примеры

Get security alerts on a resource group

Образец запроса

Пример ответа

Определения

Alert

AlertEntity

AlertList

alertSeverity

alertStatus

AzureResourceIdentifier

CloudError

CloudErrorBody

ErrorAdditionalInfo

intent

LogAnalyticsIdentifier

SupportingEvidence

Дополнительные ресурсы